웹 침투 기술 분석 방법
현재 정보 네트워크의 지속적인 발전으로 사람들의 정보 보안에 대한 인식이 날로 높아지고 있으며 정보 시스템의 보안 보호 조치도 점차 개선되고 있으며 일반적으로 방화벽은 내부와 외부를 격리하기 위해 서버의 인터넷 경계에 배치됩니다. 네트워크이며 외부에서 필요한 서버만 포트가 노출됩니다. 이 조치를 채택하면 정보 시스템의 보안 수준이 크게 향상될 수 있습니다. 외부 공격자에게는 관련 없는 채널을 모두 닫고 필요한 입구만 남겨 두는 것과 같습니다.
하지만 이 상태에서도 피할 수 없는 일종의 보안 문제가 남아 있는데, 바로 웹 취약점입니다. 그 이유는 프로그램 작성 시 사용자의 입력 문자가 엄격하게 필터링되지 않아 해커가 자신의 목표를 달성하기 위해 조심스럽게 악성 문자열을 구성할 수 있기 때문입니다.
그러면 이러한 보안 문제가 있는지 어떻게 알 수 있나요? 아래에는 비교적 간단한 몇 가지 침투 기술이 나열되어 있습니다.
XSS Vulnerability
다음과 같이 사용자가 제어할 수 있고 페이지 코드로 출력할 수 있는 위치를 최대한 많이 찾으세요: URL의 각 매개변수, URL 자체, 양식, 일반적인 시나리오 검색창(댓글 영역, 메시지 영역, 개인정보, 주문 정보, 검색창, 현재 디렉토리, 이미지 속성 등 포함)을 선택한 다음 <script>alert(hello)</script> 코드를 입력하세요. 아래 그림과 같은 경우 시스템이 크로스 사이트 스크립팅 공격을 받을 가능성이 있으니 주의하시기 바랍니다.
교차 사이트 스크립팅 공격 XSS 악의적인 공격자는 사용자가 페이지를 탐색할 때 웹에 포함된 스크립트 코드가 실행되어 사용자를 악의적으로 공격하려는 목적을 달성합니다. .
XSS는 대상 사용자 수준 공격을 공격합니다! 저장된 XSS, 지속성, 코드는 개인정보나 게재된 기사 등에 코드를 삽입하는 등 서버에 저장됩니다. 필터링이 없거나 필터링이 엄격하지 않은 경우 이러한 코드는 서버에 저장되며, 사용자가 트리거 코드 실행 페이지에 액세스합니다. 이런 종류의 XSS는 더 위험하며 웜, 쿠키 도난 등을 쉽게 일으킬 수 있습니다.
SQL 주입
【대상 SQL 문: $sql="select*from admin where id=".$id;】
일반 액세스: www.linuxtest.com/test2.php?id=1
주입 지점 찾기:
1. www.linuxtest/test2.php?id=1'에 비정상적으로 액세스하면 비정상적인 페이지가 반환되어 주입 노드가 있을 수 있음을 나타냅니다.
2. 계속해서 www.linuxtest/test2.php?id=1, 1=1로 비정상적으로 접속하면 결과가 정상 페이지로 돌아옵니다.
3. www.linuxtest/test2.php?id=1 및 1=2에 계속 접속하면 주입 노드와 함께 비정상적인 페이지가 반환됩니다. id=1 바로 뒤에 공격 SQL 문을 추가할 수 있습니다.
【기타 SQL1 문: $sql="select*from admin where id=$id";】
위와 동일
【기타 SQL2 문: $sql="select*from admin where id='{$id }'";]
이때 주입 지점이 있지만 해당 공격 SQL을 삽입하려면 작은따옴표를 제거해야 합니다. 방법은 다음과 같습니다.
제거하려면 (및 '=)을 추가합니다. 예: test2. php?id= 1' Union select 1,2,3 및 '=; 결과 SQL은 다음과 같습니다: select*from admin where id='1' Union select 1,2,3 and '='
increase (및 "= '), (union select 1,2,'3) 등
시스템 환경이 다르기 때문에 공격자가 초래할 수 있는 피해도 다르며, 이는 주로 데이터베이스에 액세스하는 애플리케이션의 보안 권한에 따라 결정됩니다. 사용자의 계정에 관리자 이상의 권한이 있는 경우 공격자는 데이터베이스 테이블에 대해 데이터 추가, 삭제 또는 업데이트는 물론 테이블을 직접 삭제하는 등 다양한 작업을 수행할 수 있습니다. burp_suite 도구의 침투를 살펴보겠습니다.
요청을 시작해야 할 때 차단 시스템은 아래와 같이 활성화된 상태가 됩니다(웹사이트를 예로 사용). 수정하려는 페이지를 입력하고 매개변수를 조작한 후 닫기를 클릭하세요. 성공하면 페이지가 수정한 매개변수를 반환합니다. 이는 조작 취약점을 차단하기 위한 것입니다.
대부분의 경우 Burpsuite는 매개변수를 변조하여 취약점 공격을 완료합니다. 이러한 상황은 고객 경험을 저하시킬 뿐만 아니라 운영 위험, 심지어 법적 위험까지 직면하게 됩니다. 홍보 위기 등의 위험위 내용은 웹 침투 기술 분석 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7541
15
1381
52
83
11
55
19
21
86
Python+Flask를 사용하여 웹 페이지의 실시간 업데이트 및 로그 표시를 구현하는 방법
May 17, 2023 am 11:07 AM
1. 모듈을 사용하여 파일에 로그 출력: 로깅은 사용자 정의 수준 로그를 생성하고 지정된 경로에 로그를 출력할 수 있습니다. 로그 수준: 디버그(디버그 로그) = 5) {clearTimeout(시간) // 한 번에 모두 10번 획득한 경우 행이 비어 있음 로그 지우기 예약 작업}return}if(data.log_type==2){//(i=0;i에 대해 새 로그를 얻은 경우)
Nginx 웹 서버 캐디를 사용하는 방법
May 30, 2023 pm 12:19 PM
Caddy 소개 Caddy는 현재 Github에 38,000개 이상의 별이 있는 강력하고 확장성이 뛰어난 웹 서버입니다. Caddy는 Go 언어로 작성되었으며 정적 리소스 호스팅 및 역방향 프록시에 사용할 수 있습니다. Caddy에는 다음과 같은 주요 기능이 있습니다. Nginx의 복잡한 구성에 비해 원래 Caddyfile 구성은 매우 간단합니다. 기본적으로 자동화된 HTTPS 구성을 지원하고 HTTPS 인증서를 자동으로 적용할 수 있습니다. 수만 개의 사이트를 Go 언어로 작성하여 어디서나 실행할 수 있으며 메모리 안전성이 더욱 보장됩니다. 우선 CentO에 직접 설치해보겠습니다.
Java API 개발에서 웹 서버 처리를 위해 Jetty7 사용
Jun 18, 2023 am 10:42 AM
JavaAPI 개발에서 웹 서버 처리를 위해 Jetty7 사용 인터넷의 발전과 함께 웹 서버는 애플리케이션 개발의 핵심 부분이 되었으며 많은 기업의 초점이기도 합니다. 증가하는 비즈니스 요구를 충족하기 위해 많은 개발자가 웹 서버 개발에 Jetty를 사용하기로 선택했으며 그 유연성과 확장성은 널리 인정받고 있습니다. 이 기사에서는 We 용 JavaAPI 개발에서 Jetty7을 사용하는 방법을 소개합니다.
웹상의 얼굴 차단 공격에 대한 실시간 보호(머신러닝 기반)
Jun 10, 2023 pm 01:03 PM
얼굴 차단 사격은 영상 속 인물을 가리지 않고 다수의 사격이 떠다니는 것처럼 보이도록 하여 마치 인물 뒤에서 떠다니는 것처럼 보이게 하는 것을 의미합니다. 기계 학습은 몇 년 동안 널리 사용되었지만 많은 사람들은 이러한 기능을 브라우저에서도 실행할 수 있다는 사실을 모릅니다. 이 기사에서는 기사 마지막 부분에 적용 가능한 몇 가지 시나리오를 소개합니다. 이 솔루션을 통해 몇 가지 아이디어를 얻을 수 있기를 바랍니다. mediapipeDemo(https://google.github.io/mediapipe/)는 주류 얼굴 차단 공세 주문형 업로드의 구현 원리를 보여줍니다. 비디오 서버 백그라운드 계산은 비디오 화면의 세로 영역을 추출하고 이를 svg로 변환합니다. 클라이언트가 비디오를 재생하는 동안 서버에서 svg를 다운로드하고 사격, 초상화와 결합합니다.
Golang을 사용하여 웹 애플리케이션에 대한 양식 유효성 검사를 구현하는 방법
Jun 24, 2023 am 09:08 AM
양식 유효성 검사는 웹 애플리케이션 개발에서 매우 중요한 링크로, 애플리케이션의 보안 취약성과 데이터 오류를 방지하기 위해 양식 데이터를 제출하기 전에 데이터의 유효성을 확인할 수 있습니다. Golang을 사용하여 웹 애플리케이션에 대한 양식 유효성 검사를 쉽게 구현할 수 있습니다. 이 기사에서는 Golang을 사용하여 웹 애플리케이션에 대한 양식 유효성 검사를 구현하는 방법을 소개합니다. 1. 폼 유효성 검사의 기본 요소 폼 유효성 검사를 구현하는 방법을 소개하기 전에 먼저 폼 유효성 검사의 기본 요소가 무엇인지 알아야 합니다. 양식 요소: 양식 요소는
frps 서버와 웹이 포트 80을 공유하도록 nginx를 구성하는 방법
Jun 03, 2023 am 08:19 AM
우선, frp가 무엇인지에 대해 의문이 생길 것입니다. 간단히 말해서, frp는 인트라넷 침투 도구입니다. 클라이언트를 구성한 후 서버를 통해 인트라넷에 액세스할 수 있습니다. 이제 내 서버는 nginx를 웹 사이트로 사용했으며 포트 80은 하나만 있습니다. FRP 서버도 포트 80을 사용하려면 어떻게 해야 합니까? 쿼리 후에는 nginx의 역방향 프록시를 사용하여 이를 수행할 수 있습니다. 추가하려면: frps는 서버이고 frpc는 클라이언트입니다. 1단계: 서버에서 nginx.conf 구성 파일을 수정하고 nginx.conf의 http{}에 다음 매개변수를 추가합니다. server{listen80
조종석 웹 UI에서 관리 액세스를 활성화하는 방법
Mar 20, 2024 pm 06:56 PM
Cockpit은 Linux 서버용 웹 기반 그래픽 인터페이스입니다. 이는 주로 신규/전문가 사용자가 Linux 서버를 보다 쉽게 관리할 수 있도록 하기 위한 것입니다. 이 문서에서는 Cockpit 액세스 모드와 CockpitWebUI에서 Cockpit으로 관리 액세스를 전환하는 방법에 대해 설명합니다. 콘텐츠 항목: Cockpit 입장 모드 현재 Cockpit 액세스 모드 찾기 CockpitWebUI에서 Cockpit에 대한 관리 액세스 활성화 CockpitWebUI에서 Cockpit에 대한 관리 액세스 비활성화 결론 조종석 입장 모드 조종석에는 두 가지 액세스 모드가 있습니다. 제한된 액세스: 이는 조종석 액세스 모드의 기본값입니다. 이 액세스 모드에서는 조종석에서 웹 사용자에 액세스할 수 없습니다.
웹 표준이란 무엇입니까?
Oct 18, 2023 pm 05:24 PM
웹 표준은 W3C 및 기타 관련 기관에서 개발한 일련의 사양 및 지침으로, HTML, CSS, JavaScript, DOM, 웹 접근성 및 성능 최적화를 포함하며, 이러한 표준을 따르면 페이지의 호환성이 향상됩니다. 접근성, 유지 관리성 및 성능. 웹 표준의 목표는 웹 콘텐츠가 다양한 플랫폼, 브라우저 및 장치에서 일관되게 표시되고 상호 작용할 수 있도록 하여 더 나은 사용자 경험과 개발 효율성을 제공하는 것입니다.
